Les chercheurs d'ESET ont découvert des failles dans les applications qui permettent de contrôler les deux objets pour adultes les plus célèbres du moment.
Quand le plaisir peut se transformer en enfer. La pandémie, qui ne facilite pas les rencontres et interactions physiques de nombreuses et nombreux célibataires, a conduit à une hausse des ventes de sex-toys. Certains de ces objets, parmi les plus vendus du marché, sont devenus de véritables outils de plaisir technologiques, connectés, faisant bifurquer ses utilisateurs dans la sphère numérique. Sauf qu'aujourd'hui, tout objet relié d'une façon ou d'une autre au numérique devient une nouvelle cible pour les cybercriminels, qui ont pris un malin plaisir à pénétrer sur le marché des objets sexuels connectés. Avec de fâcheuses conséquences.
L'utilisation d'une méthode de jumelage à la sécurité fragile
Le dernier rapport en la matière des chercheurs d'ESET, Le sexe à l'ère numérique - Les objets sexuels connectés sont-ils sécurisés ?, fait état des découvertes inquiétantes des spécialistes de la cybersécurité, qui ont décelé des failles de sécurité dans les applications contrôlant deux des sex-toys les plus vendus du marché : le We-Vibe Jive et le Lovense Max. Pour y parvenir, ils ont d'abord téléchargé les applications correspondantes (We-Connect et Lovense Remote) et utilisé des frameworks d'analyse de vulnérabilités, avant de procéder à de l'analyse directe.
Le premier des deux appareils, We-Vibe, fait en sorte de signaler sa présence un peu tout le temps, un peu partout, puisqu'il est un objet mobile et facilement transportable. Cela signifie que tout individu équipé d'un scanner Bluetooth peut, jusqu'à huit mètres de distance, détecter l'objet. Une personne malveillante pourrait très bien identifier l'appareil, qui agirait comme un aimant jusqu'à lui.
L'inconvénient du vibromasseur We-Vibe est qu'il utilise la méthode de jumelage la moins sécurisée. Pour vous donner une idée : le code clé temporaire utilisé par les objets pendant l'association est… le chiffre zéro uniquement. Cela veut dire que tout appareil (mobile, tablette ou ordinateur) peut s'y connecter en utilisant zéro comme clé. Pas de vérification ni d'authentification. Un détail qui rend le We-Bide Jive vulnérable aux attaques dites de « l'homme du milieu » (man-in-the-middle attack ou MitM), qui permettent d'intercepter des fichiers partagés.
Certaines métadonnées sont exposées du moment qu'elles sont rattachées aux fichiers partagés. ESET évoque notamment les photos envoyées par les utilisateurs à un téléphone à distance, qui donnent ainsi des informations sur l'appareil et leur géolocalisation très précise. Les chats échangés dans le cadre des applications, eux, restent protégés puisque enregistrés dans les dossiers de stockage privés de l'application.
« La sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l’heure actuelle »
Le Lovense Max, lui, est spécifiquement dédié aux longues distances, on ne vous fait pas de dessin, avec une synchronisation des deux appareils, même situés à des milliers de kilomètres l'un de l'autre. Cela signifie qu'un individu malveillant pourrait prendre le contrôle non pas d'un seul, mais des deux appareils, le tout en ne compromettant qu'un des deux.
Alors quelles données sont exposées ici ? ESET précise que les fichiers multimédias ne contiennent pas de métadonnées lors des échanges, et qui plus est, l'application est protégée par un code de déverrouillage à quatre chiffres, ce qui renforce la sécurité. Mais la conception même de l'application peut menacer la vie privée des utilisateurs. Est notamment évoquée la possibilité de transmettre des images à des tiers, le tout à l'insu du propriétaire de ces dernières. Les utilisateurs supprimés ou bloqués peuvent aussi continuer à accéder à l'historique de discussion et aux fichiers multimédias précédemment partagés. Et les adresses électroniques rattachées à l'application sont partagées en clair entre chaque téléphone participant à une session de chat.
Lovense Max n'utilise pas non plus d'authentification pour les connexions BLE (Bluetooth Low Energy). Ce n'est pas un détail, puisque cela expose l'appareil à une attaque MitM, qui permettrait ainsi à l'attaquant de prendre directement le contrôle de l'appareil. « Bien que la sécurité ne semble pas être une priorité pour la plupart des objets pour adultes à l’heure actuelle, les utilisateurs peuvent prendre certaines mesures pour se protéger, notamment éviter d’utiliser les appareils dans des lieux publics, ou des zones de passage telles que des hôtels. Ils doivent uniquement connecter l’objet intelligent à son application mobile lorsqu’il est utilisé, car cela empêchera l’appareil d’annoncer sa présence auprès d’acteurs malveillants potentiels », conseillent Denise Giusto et Cecilia Pastorino, chercheuses chez ESET.
Aujourd'hui, toutes les vulnérabilités ont été corrigées par les fabricants.
